Программное обеспечение для ведения базы данных о пациентах, ПО для врачей Опции

[плав]

Ситуация 1 (касательно Основ законодательства Российской Федерации об охране здоровья граждан). Пациент экстренно госпитализируется. В соответствии с законом передача больницей информации о его местонахождении в данном лечебном учреждении родственникам пациента без согласия пациента (пусть даже такое согласие получить нельзя ввиду тяжелого состояния пациента) является нарушением закона? Да и гарантию пациенту в данном случае подтвердить затруднительно. Тогда уже сейчас нужно судить каждого главного врача, ибо в каждой больнице список пациентов (= факт обращения) по палатам и отделениям (= почти диагноз) вывешен в приемном покое и с пациентов согласие на включение в данный список вряд ли получено. А недавнее нововведение в популярной программе "Жди меня" - фото и диагноз пациента, потерявшего память, были [успешно] использованы публично для поиска его родных - с точки зрения цитируемого закона - вообще уголовщина. Представляется, что закон оторван от реальности.

Ситуация 2 (касательно закона о персональных данных). Как вы думаете, что бы выбрал пациент: а) его данные будут занесены в несертифицированную информационную систему или б) его данные будут занесены в сертифицированную информационную систему, но ему придется заплатить за прием 1000 руб. (в пользу сертифицирующего органа), или в) никакой информационной системы нет, но в очереди придется посидеть часа 2 и качество обслуживания ухудшится на 20%? Причем информационная система и в том, и в другом случае - одна и та же (выше я уже давал ссылку на официальную позицию компании Microsoft - у других поставщиков ситуация, уверен, аналогична). Наверное, все граждане выбрали бы вариант а) - закон, правда, этого им сделать не позволит. Законодатель, естественно, хотел вариант б) - 100 млрд. рублей на дороге не валяются (выше я также давал ссылку). А реализован, к сожалению, будет вариант в), т.к. денег нет. Как всегда - один хочет одного, другой - другого, а получится то, чего не хочет ни тот, ни другой. Кстати, деньги были бы, если бы последним пунктом закона было: "Минфину выделить целевым порядком необходимое бюджетное финансирование в размере 100 мрд. рублей". Представляется, что закон также оторван от реальности.

1) В случае экстренной госпитализации пациент либо (а) может сам выразить свою волю, тогда см. Основы, либо (б) не может, тогда решения принимают родственники или (если времени их оповестить нет) - консилиум. Так что в Основах все логично и правильно прописано. Не стоит фантазировать насчет его оторванности от реальности. Не будем углубляться в понятие дееспособности и того, кто принимает решения в отношении недееспособного пациента, но там опять-таки не все так просто и надо разбираться кто и почему показывал.

2) Пациент выберет занесение данных (бесплатное) в бумажную историю болезни. Ничего страшного в том, чтобы не плодить недоделанные электронные истории болезни нет. И ничего эти электронные системы в отношении ускорения работы (по крайней мере в первые пять лет после внедрения) не делают. Так что опять-таки, закон абсолютно нормальный - можете сделать нормально защищенную систему, считаете, что она окупится - вкладывайтесь. Не можете, не надо делать уродцев.

[Игорь]

2) Пациент выберет занесение данных (бесплатное) в бумажную историю болезни. Ничего страшного в том, чтобы не плодить недоделанные электронные истории болезни нет. И ничего эти электронные системы в отношении ускорения работы (по крайней мере в первые пять лет после внедрения) не делают. Так что опять-таки, закон абсолютно нормальный - можете сделать нормально защищенную систему, считаете, что она окупится - вкладывайтесь. Не можете, не надо делать уродцев.

Абсолютно согласен.

У нас появилось предложение, которое хотелось бы донести до управления здравоохранением (возможно ли это?). Приемлемое недорогое решение, на наш взгляд, в общих чертах выглядеть может так. Идея возникла из опыта некоторых учреждений, в которых карточка пациента хранится на руках у самого пациента.

Основные положения:
1. В учреждениях здравоохранения хранятся обезличенные базы данных. Персональной части вообще не хранится. Доступа на запись к базе сотрудники учреждения не имеют, пока не будет введен особый ключ. При этом доступ на чтение, для целей статистики, научного и экономического анализа, у специалистов учреждения имеется с использованием стандартных средств аутенфикации.
2. Ключ (можно назвать его паспортом здоровья) пациент приносит с собой. Полный доступ к базе осуществляется только при наличии ключа - как в банковском терминале. Персональные данные как раз хранятся в данном ключе. За их сохранность отвечает сам пациент.
3. Ключ пациенту выдает специальный территориальный уполномоченный центр. Право записи и хранение копии персональных данных ключа имеет только данный центр. При утрате данного ключа порядок действий аналогичен, скажем, действиям при утрате любого другого документа.

Таким образом, данное предложение обеспечивает:
1. Максимальный уровень защиты (выше него - только если пациент носит всю историю болезни с собой на карточке).
2. Полное исполнение всех законов и законодательных актов.
3. Минимальную цену (если записи обезличены, сертификация аппаратно-программных средств, в особенности на рабочих местах, в отдельных учреждениях вообще не нужна).
4. Полную стандартизацию всех учреждений здравоохранения страны в части медицинских записей. При этом структура части базы может быть одинаковой для всех учреждений, специальная часть (зависящая от профиля учреждения) может быть уникальной и даже редактироваться самим учреждением.
5. Полный доступ к информации (при необходимости) по решению суда, со стороны компетентных органов и в других случаях, определенных законодательством, но не со стороны злоумышленников - физически исключаются как опасности несанкционированного распространения или искажения информации от вторжения хакеров, так и злонамеренные действия внутри самого лечебного учреждения.

Недостаток (хотя он может рассматриваться и как преимущество) - необходимо создание сертифицированных уполномоченных центров (возможно, по одному на субъект - не так уж и много) в рамках территориальных органов здравоохранения под контролем всех уполномоченных органов. Возможно наделение данными функциями существующих органов - например, государственного Пенсионного фонда или ФОМС.

Сообщение отредактировал Игорь - 10.07.2009 - 08:26

[Игорь]

Данные о состоянии здоровья (включая факт обращения за медицинской помощью) относятся к конфиденциальным, поэтому в поликлинике их как раз полно.

Персональные данные, в соответствии с законодательством, являются конфиденциальными. Совершенно верно. Но неверно обратное. Конфиденциальные данные не исчерпываются только персональными. Поэтому, говоря о конфиденциальных данных, имея в виду персональные данные, мы неоправданно расширяем то требование, которое к нам предъявляет законодатель, и берем на себя дополнительные обязательства, которые могли бы на себя и не принимать. А каждое обязательство - это, во-первых, средства на их реализацию, а во-вторых - лишний вопрос при проверке.

Вот именно о такой ситуации и шла речь в посте. Недавно анализировал заявку одного из операторов, поданную, в соответствии с законом, до 1 января 2008 года. Внесен в реестр операторов он был в апреле 2008 года. При этом, что характерно, рекомендации по заполнению заявки были официально изданы лишь в июле 2008 года. К чему привела поспешность, могу пояснить: организация написала в заявке все, что пришло в голову нерадивому исполнителю, включая расширительные формулировки, о которых сказано выше, вплоть до трансграничной передачи данных (о которых на самом деле речи нет и никогда не будет). Тем удивительнее для руководителя организации были жесткие и конкретные вопросы проверяющих, причем заданные в точности по заявке. Организация взяла на себя обязательства, для реализации которых не хватит и 10 миллионов рублей! А можно было обойтись реально десятком тысяч. Сейчас будет идти "тяжба" о коррекции заявки. Уволить бы еще этого исполнителя!

Сообщение отредактировал Игорь - 12.07.2009 - 14:14

[HOUSE MD]

http://www.bob2000.pisem.net/ - АРМ врача (электронная история болезни) Acctss
http://reanclub.info/load/1 - Реанимационный клуб - различные авторские программы
http://www.medsoft.ucoz.ua/ - электронная история болезни, база пациентов Access, Укр.

[Игорь]

Интересное сообщение. Спешу поделиться http://medportal.ru/mednovosti/news/2009/08/21/uselmed/.

Сообщение отредактировал Игорь - 23.08.2009 - 16:30

[HOUSE MD]

Не знаю как в России, но в Украине сделали единую базу для нотариусов. И без особых затрат. Насколько мне известно, в России уже существуют базы данных застрахованых, статистические базы. Перевод документации в электронный вариант не составил бы особого труда. Нужно только желание.
PS.У меня еще есть програмка для вычислений SF36. Если комуто нужно- могу выслать. Интерфейс, правда, украинский.

[Игорь]

Можно сопоставить пакет законов и подзаконных актов о персональных данных с положениями Федерального закона N 172, официально опубликованного тут http://www.rg.ru/2009/07/22/expertiza-dok.html.

Сообщение отредактировал Игорь - 3.09.2009 - 18:40

[Игорь]

Несколько моментов из опыта внедрения электронной истории болезни (далее - Системы). Как это должно быть и будет, или не будет совсем.

1. Чтобы установить и эксплуатировать Систему своими силами, организация должна иметь сертификат ФСБ. Для этого, как минимум, в организации должно быть сформировано специальное подразделение по защите информации, укомплектованное не программистами и не бывшими милиционерами, а дипломированными специалистами, у которых в дипломе написано "специалист по защите информации".
2. Если не выполнен п. 1, единственных выход - аутсорсинг.
3. Система должна (для избежания еще больших проблем) быть самодостаточной, не подключенной ни к каким другим несертифицированным сетям и компьютерам. Т.е. Система должна быть построена заново (включая сетевые коммуникации), без использования ранее приобретенных компьютеров, серверов, ПО (ранее купленное лицензионное - сразу выбросить), сетей. Компьютеры и прочая техника должны быть специальные: это не обычная техника с сертификатом, это - реально специально оборудованные и проверенные устройства.
4. Стоимость сертификации (без ПО и оборудования, только сертификации: испытания, оформление) - до 30 тысяч руб. за 1 рабочее место. Обратите внимание - есть ли такой Центр в вашем городе?

Нюанс по п. 3. Посещая медучреждения, обратил внимание, что существующая проводка сетей выполнена стандартно в пластиковых кабель-каналах, над подвесными потолками или просто скобами. Это недопустимо. Для Системы проводка должна быть выполнена в бронированном канале, исключающем доступ извне. Радиосети исключаются. Один из первых заданных нам вопросов: "У вас wi-fi есть?" Далее, помещения для работы с системой должны быть оборудованы металлическими дверями, решетками и сигнализацией (охранной и видеонаблюдения), контролем доступа (ключ выдается утром под расписку, покидать помещение в течение дна запрещается). Т.о., использование рабочих мест на стойке регистратуры исключается совершенно. На компьютерах должны быть заблокированы все порты, за исключением используемых Системой, сняты все дисководы.

Пусть выполнены п. 1 или 2. Система установлена и сертифицирована.

5. Электронные ключи для работы с Системой выдаются специальным сертифицирующим органом на 3 года (примерно как банковская карта). Небесплатно. При потере ключа - проблемы. Уволилась сестра, унесла ключ - проблемы. Пришел новый врач - оформление ключа.
6. На сертифицированные компьютеры Системы нельзя устанавливать никакое другое ПО. Иначе - потеря сертификата и сертификация по новой. Например, посещение рабочего места сыном медсестры (в период каникул) обернется повторной сертификацией Системы. Фактически нельзя выполнять никакие другие задачи, кроме работы с Системой. Нельзя ни копировать, ни архивировать данные, ни смотреть фотографии, ни использовать их в каких-то научных целях, кроме как средствами Системы. Нельзя пользоваться Интернетом в режиме свободного серфинга. Фактически рабочее место по работе с персональными данными (по строгости обращения) аналогично (и даже более) рабочему месту, скажем, томографа. Более - это потому, что томограф ФСБ, ФСТЭК и Связьнадзор (вместе и отдельно) не проверяет, а вас регулярно будет.
7. Нельзя подключать в Системе несертифицированное медоборудование (томографы, УЗИ) и ПО (хранилища изображений, ранее оцифрованные архивы). А оно все несертифицировано. Все ранее разработанное и купленное ПО - выбросить.
8. Ремонт и модернизация компьютера - сертификация по новой.
9. Обновление системы и антивируса - только с сертифицированного сервера. Для этого - постоянное подключение к Интернету через сертифицированный канал.
10. При работе с системой не скажу обязательно, но скорее всего придется запретить пользоваться мобильными телефонами, фотоаппаратами и проч. Придется, наверное, также делать личный досмотр сотрудников. В-общем работы службе безопасности прибавится. Если таковой нет - нужно создать.

И последнее, как ни странно звучит. Вернее всего, на территории России придется отказаться от использования несертифицированного компьютеризированного медоборудования (томографы, цифровые рентгеновские установки, УЗИ) - а оно, как упомянуто выше, ВСЁ несертифицировано. Либо главврачи будут постоянно находиться под дамокловым карающим мечом правосудия. Можно, конечно, ничего не делать, но сначала оштрафуют, а потом могут и посадить.

Сообщение отредактировал Игорь - 2.10.2009 - 12:57

[Игорь]

Поправлен закон о персональных данных.

Ссылки:
http://www.cnews.ru/news/top/index.shtml?2009/12/16/373683
http://www.computerra.ru/blogs/kaspersky/488611/

Первая поправка - отложено введение в действие закона до 1 января 2011 года. Вторая поправка гораздо существеннее - не нужна криптография. Из чего следует, что информационную систему в принципе уже можно делать малыми [=своими] силами.

Для нас совершенно очевидно, что начинать реализацию медицинской информационной системы (оперирующую персональными данными) в настоящее время преждевременно, до окончательной формулировки законодательных актов.

Полагаю, если выделены средства на реализацию такой системы, нужно направить их на медико-экономическую часть информационной системы, что тоже очень важно.

Сообщение отредактировал Игорь - 29.12.2009 - 10:05

[Игорь]

И еще один ключевой в данной теме закон (об ЭЦП) будет поправлен http://newsru.com/russia/20jan2010/e_podpis.html А именно: "В отличие от нынешних правил технические средства, которые позволяют добиться выполнения вышеназванных условий, не обязаны проходить процедуру государственной сертификации. Удостоверяющим центром, обладающим правом выдачи сертификатов ключа подписи, может быть любое юридическое лицо или его структурное подразделение, а также индивидуальный предприниматель".

Чего, собственно, и следовало ожидать. Итак, вывод по данному и предыдущему постам - все идет к тому, что реализовать (или легитимно использовать старую!) МИС станет реально.

А как же тем быть, кто заказал МИС в последние полгода со всеми опциями, которые сейчас не требуются и кто оплатил криптографию, ЭЦП, сертификацию, лицензирование? Поторопились господа. Мы же предупреждали

Сообщение отредактировал Игорь - 20.01.2010 - 18:02